تزریق به پایگاه داده
تزریق به پایگاه داده (به انگلیسی: SQL injection) نوعی فن تزریق کد است که نقص امنیتی نرمافزار وبسایت را اکسپلویت میکند به این صورت که نفوذگر با یک سری دستورهای اسکیوال عملیاتی را (متفاوت با عملیات عادی موردنظر طراح وبسایت) در پایگاه داده وبسایت آسیبپذیر انجام میدهد.
این آسیبپذیری جزو ده آسیبپذیری رایج نرمافزارهای وب در سال ۲۰۰۷ و ۲۰۱۰ برشمرده شدهاست.[۱]
تزریق SQL یک روش حمله است که هدف آن داده های ساکن در یک پایگاه داده می باشد که از طریق FireWall محافظت می شود. حمله معمولا به علت مدیریت ضعیف در اعتبار سنجی کدها و یا ورودیهای برنامه (وب سایت) اتفاق می افتد. حمله تزریق SQL زمانی اتفاق می افتد که یک مهاجم قادر به قرار دادن یک سری از عبارتهای SQL در یک Query (پرس و جو) با دستکاری داده های ورودی کاربر در یک برنامه مبتنی بر وب می باشد. البته این مساله نیز مستقیما با نحوه مدیریت کدها و ورودیهای وب سایت رابطه مستقیم دارد. یک حمله کننده می تواند از نقصهای برنامه نویسی و یا حفره های امنیتی وب سایت و یا نرم افزار به راحتی برای دستیابی به اطلاعات یک پایگاه داده استفاده نماید.
پرس و جوی معمول دارای چند بخش مختلف به شرح ذیل می باشد:
- دستور Select: با استفاده از این دستور ستونهایی که مورد نظرمان است را انتخاب می نمائیم.
- From : که مشخص می نماید که ستونهای مورد نظر ما از کدام جدول انتخاب شوند
- Where: که در آن شروطی را مشخص می نمائیم.
- و یک سری دستورات و عبارها و متدهای دیگر . . .
حملات تزریق از طریق SQL فقط در بخش شرطی Where اتفاق می افتند. در ادامه توضیح خواهیم داد که این مساله چگونه رخ می دهد.
این آسیبپذیری از راههای گوناگونی پدید میآید. یک طریق فیلترنشدن Escape characterها (" و ') است. برای مثال:
statement = "SELECT * FROM users WHERE name = '" + userName + "';"
کار این کد استخراج اطلاعات یک نام کاربری (که به متغیر داده میشود) از جدول users است. اما نفوذگر میتواند با دادن مقدارهایی هوشمندانه به متغیر userName، سبب اجرای دستورهایی متفاوت از آنچه موردنظر کدنویس بودهاست بشود. برای مثال با وارد کردن این کد به عنوان ورودی:
' OR 'a'='a
کد نهایی اینچنین رندر میشود:
SELECT * FROM users WHERE name = '' OR 'a'='a';
همچنین میتوان با یکی از این سه روش، ادامهٔ کد را کامنت گرفت:[۲]
' OR 'a'='a' -- '
' OR 'a'='a' ({ '
' OR 'a'='a' /* '
که نتیجه چنین است:
SELECT * FROM users WHERE name = '' OR 'a'='a' -- ';
مثلاً ممکن است در کدی، ادامهٔ کد مربوط به بررسی گذرواژه باشد، در آن حالت با این کار آن بخش از کد کامنت گرفته میشود و پردازش نمیشود، و نفوذگر بدون واردکردن گذرواژه از مانع میگذرد.
یا مثلاً واردشدن چنین عبارتی:
a'; DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't
سبب حذف جدول users و نیز استخراج تمام اطلاعات جدول userinfo میشود.
در ژوئیهٔ ۲۰۱۲ گروهی تحت عنوان D33D با نفوذ به زیردامنهای از یاهو، Yahoo Voices، به همین شیوه، گواهینامههای لاگین بیش از ۴۵۰۰۰۰ کاربر این وبگاه را ربودند.[۳]
منابع [ویرایش]
- ↑ Category:OWASP Top Ten Project - OWASP
- ↑ IBM Informix Guide to SQL: Syntax. Overview of SQL Syntax > How to Enter SQL Comments, IBM, http://publib.boulder.ibm.com/infocenter/idshelp/v10/index.jsp?topic=/com.ibm.sqls.doc/sqls36.htm
- ↑ Chenda Ngak. "Yahoo reportedly hacked: Is your account safe?", CBS News. July 12, 2012. Retrieved July 16, 2012.
- Wikipedia contributors, "SQL injection," Wikipedia, The Free Encyclopedia, http://en.wikipedia.org/w/index.php?title=SQL_injection&oldid=473084301 (accessed January 25, 2012).
- SQL-Injections - eine Analyse an PHP & MySQL
پیوند به بیرون [ویرایش]
- SQL Injection on the Nameless Wiki
- Blind Sql injection with Regular Expression
- BUGTRAQ-VULNERABLE SITE TRACKER (injection vulnerability)
- WASC Threat Classification - SQL Injection Entry, by the Web Application Security Consortium
- Why SQL Injection Won't Go Away, by Stuart Thomas
- SQL Injection Attacks by Example, by Steve Friedl
- SQL Injection Prevention Cheat Sheet, by OWASP
- SQL Injection Tutorial, by BTS.
- Free SQL Injection Testing and Exploitation Tool
- 10 years of sql injection history
- SDL Quick security references on SQL injection by Bala Neerumalla
